© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Felipe Garcia, Solutions ArchitectDiego Noya, Regional Product Manager

Abril 2016

Creando su datacenter virtualFundamentos de VPC y opciones de conectividad

Instancia EC2

172.31.0.128

172.31.0.129

172.31.1.24

172.31.1.27

54.4.5.6

54.2.3.4

VPC

¿Qué esperar de esta sesión?

• Familiarizarse con los conceptos de VPC• Aprender a través de una configuración básica de VPC• Aprender acerca de las maneras en que usted puede

adaptar su red virtual, para satisfacer sus necesidades

Tutorial: Configuración de una VPC conectada a Internet

Creación de una VPC conectada a Internet : Pasos

Eligiendo un rango de direcciones

Creando subredes en Availability

Zones

Creación de una ruta a la Internet

Autorizando tráfico a/desde la VPC

Eligiendo un rango de direcciones

Revisión de la notación CIDR

Ejemplo de rango CIDR:

172.31.0.0/161010 1100 0001 1111 0000 0000 0000 0000

Eligiendo un rango de direcciones para su VPC

172.31.0.0/16

Recomendado: RFC1918 range

Recomendado : /16

(64K addresses)

Evitar los rangos que se solapan con otras redes a las que puede conectarse.

Creando subnets en Availability Zones

Eligiendo un rango de direcciones para su subred

172.31.0.0/16

Availability Zone Availability Zone Availability ZoneVPC subnet VPC subnet VPC subnet

172.31.0.0/24 172.31.1.0/24 172.31.2.0/24

eu-west-1a eu-west-1b eu-west-1c

Auto-asignar IP pública:Todas las instancias obtendrán una IP pública asignada automáticamente

Más sobre subredes

• Recomendado para la mayoría de los clientes:

• / 16 VPC (64K direcciones)• / 24 subredes (251 direcciones)• Una subred por cada zona de

disponibilidad• ¿Cuándo podría hacer otra cosa?

Creación de una ruta a Internet

Enrutamiento en la VPC

• Tablas de rutas contienen reglas para decir para donde los paquetes van

• Su VPC tiene una tabla de ruta por defecto

• ... Pero se pueden asignar diferentes tablas de rutas a diferentes subredes

El tráfico destinado a mi VPC se queda en mi VPC

Internet gateway

Enviar paquetes que si desea enviar hacia Internet

Todo lo que no va hacia la VPC: Se envía a Internet

Autorizando tráfico: Network ACLs y Security Groups

Network ACLs = reglas de firewall sin Estado

Traducción a español: Permitir todo el tráfico

Se puede aplicar sobre una subred

Los Security Groups siguen la estructura de su aplicación

“MyWebServers” Security Group

“MyBackends” Security Group

Permitir

el tráfic

o

web desde 0.0.0.0/0

Permitir sólo “MyWebServers”

Security Groups = Firewall con estado

En español: Los miembros de este grupo son accesibles desde Internet por el puerto 80 (HTTP)

Security Groups = Firewall con estado

En español: Únicamente instancias en el Security Group MyWebServer, pueden alcanzar instancias de este Segurity Group

Security Groups en VPCs: Notas adicionales

• VPC permite la creácion de reglas de seguridad de ingreso y egreso

• Best practice: Siempre que sea posible, especifique por referencia el trafico permitido (otros Security Groups)

• Muchas arquitecturas de aplicaciones tienen una relación 1:1 con Security Groups (lo que puede llegar a mi) y AWS Identity and Access Management (IAM) roles (lo que puedo hacer)

Opciones de Conectividad de una VPC

Más allá de la conectividad a Internet

Opciones de enrutamiento en la

Subred

Conexión a la red corporativa

Conexión a otras VPCs

Enrutamiento en Subredes: Subreds internas

Diferentes tablas de rutas para diferentes subredes

VPC subnet

VPC subnet

Tiene ruta a Internet

No tiene ninguna ruta a Internet

El acceso a Internet a través de NAT con EC2

VPC subnet VPC subnet

NAT 0.0.

0.0/

0

0.0.0.0/0

Instancia EC2 con Imagen (AMI) de NAT de Amazon:amzn-ami-vpc-nat

SPoF

El acceso a Internet a través de NAT con NAT Gateway

VPC subnet VPC subnet

NAT 0.0.

0.0/

0

0.0.0.0/0

NAT Gateway altamente disponible, por AWS

Conexión a otra VPC:VPC peering

VPC de Servicios compartidos con VPC Peering (Hub-and-Spoke)Servicios Core

• Autenticación/Directorio• Monitoreo• Logging• Administración Remota• Scanning

VPC peering

VPC Peering

172.31.0.0/16 10.55.0.0/16

Pasos para establecer un VPC Peering: Iniciar solicitud

172.31.0.0/16 10.55.0.0/16

Step 1

Initiate peering request

Pasos para establecer un VPC Peering: Iniciar solicitud

Pasos para establecer un VPC Peering: Aceptar la solicitud

172.31.0.0/16 10.55.0.0/16

Step 1

Iniciar solicitud

Step 2

Aceptar solicitud

Pasos para establecer un VPC Peering: Aceptar la solicitud

Pasos para establecer un VPC Peering: Crear ruta

172.31.0.0/16 10.55.0.0/16Step 1

Initiate peering request

Step 2

Accept peering request

Step 3

Crear Rutas

En español: Tráfico destinado a la preered VPC deberá ir por el peering

Conectando a su red:AWS Hardware VPN &AWS Direct Connect

Extender su propia red a la VPC

VPN

Direct Connect

VPN: Lo que necesitas saber

Customer Gateway (CGW)

Virtual Gateway (VGW)

Dos túneles IPSec

192.168.0.0/16 172.31.0.0/16

192.168/16

Su dispositivo de Red

Enrutando a un Virtual Private Gateway (VGW)

En español: Tráfico a mi red 192.168.0.0/16 sale por el túnel VPN

VPN vs. Direct Connect

• Ambos permiten conexiones seguras entre su red y su VPC

• VPN és un par de túneles a través de Internet

• Direct Connect es una línea dedicada con un mejor costo por GB

• Para mayor alta disponibilidad: Use ambos

DNS en la VPC

Opciones de DNS en la VPC

Utilizar el servidor DNS de Amazon

Hostname automático para las instâncias EC2

EC2 DNS hostnames de EC2 en la VPC

Nombre DNS interno: Resuelve a la dirección IP Privada

Nombre DNS externo: Resuelve…

EC2 DNS hostnames de EC2 trabajan desde cualquier parte: Fuera de su VPCC:\>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.comServer: globaldnsanycast.amazon.comAddress: 10.4.4.10

Non-authoritative answer:Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.comAddress: 52.18.10.57

Fuera de su VPC:Dirección IP Pública

EC2 DNS hostnames de EC2 trabajan desde cualquier parte: Dentro de su VPC[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A

;; ANSWER SECTION:ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137

;; Query time: 2 msec;; SERVER: 172.31.0.2#53(172.31.0.2);; WHEN: Wed Sep 9 22:32:56 2015;; MSG SIZE rcvd: 81

Dentro de su VPC:Dirección IP Privada

Amazon Route 53 zonas privadas

• La resolución de DNS para un dominio y subdominios

• Los registros DNS sólo tienen efecto dentro de las VPC asociadas

• Puede utilizarlo para anular registros DNS "externos"

Creando una zona privada en Route 53

Zona Privada

Asociado con uno o más VPCs

Creando un registro DNS en Amazon Route 53

Private Hosted Zone

example.demohostedzone.org 172.31.0.99

Consulta de registros en zonas privadas

https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/[ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:;example.demohostedzone.org. IN A

;; ANSWER SECTION:example.demohostedzone.org. 60 IN A 172.31.0.99

;; Query time: 2 msec;; SERVER: 172.31.0.2#53(172.31.0.2);; WHEN: Wed Sep 9 00:13:33 2015;; MSG SIZE rcvd: 60

Y mucho más

VPC Flow Logs: Vea todo el tráfico

• La visibilidad de los efectos de las reglas de Security Group

• Solución de problemas de conectividad de red

• Capacidad para analizar el tráfico

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

Amazon VPC endpoints: Amazon S3 sin un Internet gateway

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

ClassicLink: Conectar instancias de EC2-Classic a su VPC

• Conectividad a través de la dirección IP privada de instancias vinculadas entre EC2-Classic y VPC

• Instancias EC2-Classic pueden ingresar en Security Groups de la VPC

Maneje su red “like a boss…”

…si eres o no un experto en redes

172.31.0.128

172.31.0.129

172.31.1.24

172.31.1.27

54.4.5.6

54.2.3.4

Level 3

Acerca de Level 3

Level 3 LATAM

Level 3 Argentina

Sin una estrategia de red, no hay una estrategia de Nube

Red Pública vs Red Privada

https://www.youtube.com/watch?v=mUCTwhjQNOI

Level 3 Cloud Connect

US East(Virginia)

US West(N.

California)

US West(Oregon)

EU West Ireland Sao Paulo Singapore Tokio Sydney

Level 3 Cloud ConnectCloud Connect IPVPN

• Conectividad Full Mesh• Flexibilidad para crecimiento• Instalación simple y competitiva para

cliente existente• Valor agregado a IPVPN• Permite ofrecer más servicios a

clientes nuevos• Aplicaciones en la nube

Cloud Connect EVPL

• Conectividad P2P• Configuración de cliente

simple• Conexión de un DC a la

nube (nube híbrida)

NNI

NNI

Opciones de ConectividadInternet IPVPN EVPL/VPLS PL/EPL DWDMRed pública compuesta por diferentes proveedores.

Transporte best effort (jitter, packet loss)

Requiere encriptado para mejorar seguridad.

VPN capa 3 sobre MPLS.

Ofrece SLA para jitter, latencia y packet loss.

Topología full mesh.

6 clases de servicio.

Ethernet sobre MPLS.

Ofrece SLA para jitter, latencia y packet loss.

El cliente debe administrar direcciones IP.

Punto a punto transparente.

Transporte TDM, no conmutación de paquetes.

Para usos específicos

Anchos de banda > 1Gbps.

Servicio no protegido.

Longitud de onda de uso exclusivo.

Performance = Productividad

Gracias!